微信公众号:计算机与网络安全ID:计算机网络明文是未加密的信息,明文密码自然是未加密的密码信息,明文密码传输,明文密码存储,密码弱加密和密码存储在攻击者可以访问的文件中的密码都可以被认为是明文密码漏洞。密码明文传输是指当我们在网站输入账号和密码点击登录时,我们使用BurpSuite拦截登录数据包。有时会发现输入的登录密码是明文传输的,没有任何加密或Base64等弱编码方式(很容易被破解,相当于未加密)。如果使用HTTPS加密传输,就可以解决这个问题。密码明文存储是指网站数据库中存储的用户密码一般采用MD5或其他更复杂的加密方式加密,但也有部分网站将密码明文存储在数据库中。如果攻击者攻陷此类数据库,则可以轻松获取账号和密码,为后续的数据库清洗和鉴权提供高度准确的数据基础。密码是弱加密的,比如上面提到的弱Base64编码或者弗吉尼亚密码。密码存储一般由运维人员或服务器管理人员负责。他们管理的账号和密码数量非常多,而且这些账号和密码经常被使用。因此,他们一般将这些帐号和密码保存在一个文本文件中,一目了然。如果这个文本文件没有经过强加密,并且放置在攻击者可以访问的地方,比如存在漏洞的服务器、U盘和个人笔记本等,一旦攻击者通过以下方式输入上述账号和密码技术在存储文件中,用户的帐号和密码被泄露。账号密码泄露会有什么后果?企业和个人的秘密将被充分暴露,最终损害企业和个人的利益。例1:某站后台管理处明文密码传输。在系统登录界面输入账号admin和密码123456,点击登录,如图1所示图1系统登录界面攻击者使用BurpSuite拦截登录请求包,如图2图2拦截登录请求数据包从图2可以看出,帐号和密码没有加密传输,这里是明文密码传输。例2:某网站后台数据库中存储了一个明文密码。攻击者使用SQL语句select*fromforum_user查询数据库中forum_user表的所有记录。可以看出forum_user表中password字段password的记录没有经过MD5加密或者其他强加密,如图3所示。图3明文密码存储
